ロシアGRU APT28がTP-Linkルーターを乗っ取りMicrosoft 365の認証情報を窃取していた
目次
2026年4月7日、FBI/DOJが「Operation Masquerade」として、ロシアGRUが世界中のTP-LinkルーターをDNSハイジャックしていた作戦の無力化を発表した。
UK NCSCもAPT28の技術アドバイザリを同日に公開している。
TP-Linkルーターが国家レベルの攻撃に使われた事例としてはFlax Typhoon(中国)に続く2件目で、今回はロシアのGRUが主体。
家庭用ルーターが国家支援型サイバー攻撃のインフラになるという話が、もはや例外ではなく常態化しつつある。
攻撃者: APT28 / Fancy Bear / Forest Blizzard
攻撃を行ったのはロシア軍参謀本部情報総局(GRU)第85特殊任務センター、軍事ユニット26165に属するAPT28。
別名Fancy Bear、Forest Blizzard、Sofacy、Pawn Storm、Storm-2754などで追跡されている、ロシア政府公式のサイバー部隊だ。
Lumen Black Lotus Labsはこのキャンペーン(一連の攻撃活動)を「FrostArmada」と命名。
組織内に2つの運用チームが存在することを確認している。
| チーム | 役割 |
|---|---|
| 拡張チーム | デバイスの侵害とボットネットの拡大 |
| 収集チーム | AitM(Adversary-in-the-Middle)操作と認証情報の窃取 |
何が起きたか
APT28はインターネットに公開されたTP-LinkやMikroTikのSOHOルーターを侵害し、DNS設定を改ざん。
ルーター配下のすべてのデバイスの通信を、GRU管理下のDNSリゾルバ経由に変えていた。
標的はMicrosoft Outlook/365関連のドメイン。
DNS応答を偽装して通信をGRUのAitMノードにリダイレクトし、OAuthトークンとパスワードを傍受する手口だった。
マルウェアは一切使われていない。
ルーター自体のDHCP/DNS機能を悪用してトラフィックを傍受・転送するため、従来のマルウェア検知では発見が極めて困難だった。
傍受対象のドメイン
autodiscover-s.outlook.comimap-mail.outlook.comoutlook.live.comoutlook.office.comoutlook.office365.com
影響を受けたTP-Linkモデル
NCSCのアドバイザリに記載されたモデル一覧。
| シリーズ | モデル |
|---|---|
| WR8xx | TL-WR841N, WR841HP, WR842N, WR842ND, WR845N, WR840N |
| WR9xx | TL-WR941ND, WR945N |
| WR7xx | TL-WR740N, WR749N |
| WR10xx | TL-WR1043ND, WR1045ND |
| WDR | TL-WDR3500, WDR3600, WDR4300 |
| MR | TL-MR3420, MR6400 |
| Archer | Archer C5, C7(EU版) |
| AP | TL-WA801ND, WA901ND |
MikroTikルーター(特にウクライナで使用されているもの)やNethesisファイアウォール、レガシーのFortinetデバイスも標的に含まれていた。
攻撃の技術的詳細
悪用された脆弱性
2つのCVEをチェーンして使っている。
| CVE | 対象 | CVSS | 概要 |
|---|---|---|---|
| CVE-2023-50224 | TL-WR841N | 6.5 | httpdサービス(TCP 80)の認証バイパス。/tmp/dropbear/dropbearpwdから認証情報を未認証で取得可能 |
| CVE-2025-9377 | Archer C7(EU) V2, TL-WR841N/ND(MS) V9 | 8.6 | Parental Controlページ経由のOSコマンドインジェクション。認証後にRCE可能 |
CVE-2023-50224で管理者の認証情報を盗み、CVE-2025-9377でコマンド実行してDNS設定を書き換えるという流れ。
攻撃チェーン
graph TD
A[インターネットに公開された<br/>SOHOルーターをスキャン] --> B[CVE-2023-50224<br/>未認証HTTPリクエストで<br/>管理者パスワードを取得]
B --> C[取得した認証情報で<br/>ルーター管理画面にログイン]
C --> D[CVE-2025-9377<br/>Parental Control経由で<br/>OSコマンドインジェクション]
D --> E[DNS/DHCP設定を改ざん<br/>GRU管理下のDNSリゾルバに変更]
E --> F[ルーター配下の全デバイスが<br/>DHCP経由で悪意のあるDNS設定を継承]
F --> G[Outlook関連ドメインへの<br/>リクエストをAitMノードにリダイレクト]
G --> H[TLS証明書警告を無視した<br/>ユーザーのOAuthトークンと<br/>パスワードを傍受]ポイントは、ルーターにマルウェアを仕込むのではなく、正規のDHCP/DNS機能を「設定変更」しているだけという点。
ルーター自体は正常に動作し続けるため、ユーザーが異変に気づくのは非常に難しい。
TLS証明書の警告が出るのは、GRU側が正規のサーバー証明書を持っていないため。
逆に言えば、証明書の警告を無視しなければ被害には遭わない。
GRUインフラの特徴
Black Lotus Labsが特定したVPSの指標。
| クラスタ | バナーパターン |
|---|---|
| クラスタ1 | TCP 56777にSSH、UDP 53にdnsmasq-2.85 |
| クラスタ2 | TCP 35681にSSH、dnsmasq-2.85(選択的) |
確認されたVPSのIPアドレスは100以上。
主に5.226.137.x、37.221.64.x、77.83.197.x、79.141.x.x、185.237.166.xの範囲に集中していた。
被害規模
| 項目 | 内容 |
|---|---|
| ピーク時 | 2025年12月、120か国以上で18,000以上のユニークIPがAPT28インフラと通信 |
| 影響を受けた組織 | 200以上(Microsoftの分析) |
| 影響を受けたデバイス | 5,000台以上 |
| 標的セクター | 各国の外務省、法執行機関、軍事関連組織、重要インフラ事業者、IT/ホスティングプロバイダー |
| 地理的分布 | 北アフリカ、中央アメリカ、東南アジア、ヨーロッパを中心に全世界 |
タイムライン
| 時期 | 出来事 |
|---|---|
| 2024年 | GRUがTP-Linkルーターへの無差別侵害を開始 |
| 2025年5月 | FrostArmadaキャンペーンが限定的に活動開始 |
| 2025年8月 | 大規模なルーター侵害とDNSリダイレクトが本格化。UK NCSCがForest Blizzardツールセットのレポートを公開 |
| 2025年9月 | CISAがCVE-2023-50224とCVE-2025-9377をKEV(既知の悪用脆弱性)カタログに追加 |
| 2025年12月 | ピーク。120か国以上で18,000以上のIPがAPT28インフラと通信 |
| 2026年3月 | インフラが無力化。FCCが外国製ルーターの輸入禁止を発表 |
| 2026年4月7日 | DOJ/FBIがOperation Masqueradeによる無力化を公表。UK NCSC、FBI、IC3が同時にアドバイザリを発行 |
Operation Masquerade: FBIによるリモート修復
FBIは裁判所の認可を得て、米国内の侵害されたルーターにリモートでコマンドを送信。
以下の修復を実施した。
- フォレンジックデータの収集
- DNS設定をリセット(GRUのDNSリゾルバを削除し、ISPの正規DNSに復帰)
- GRUの不正アクセス手段を無効化
ルーターの通常機能には影響なし。
ユーザーはハードウェアリセットボタンでいつでも元に戻せる状態にしてある。
参加機関はFBI、NSA、ドイツ(BfV/BND)、イタリア(AISE/AISI)、カナダ、チェコ、デンマーク、エストニア、フィンランド、ラトビア、リトアニア、ノルウェー、ポーランド、ポルトガル、ルーマニア、スロバキア、ウクライナなど多数。
FCCの外国製ルーター輸入禁止
2026年3月23日、FCCが外国製ルーターの新規輸入・販売を禁止する決定を行った。
主にTP-Link等の中国メーカーが対象で、米国の消費者ルーター市場の3分の1以上を占める。
- 既存機器は引き続き使用可能
- 2027年3月1日までソフトウェアアップデートの受信も許可
- 根拠はVolt Typhoon、Flax Typhoon、Salt Typhoon、そして今回のAPT28キャンペーン
CISAも2025年9月にCVE-2023-50224とCVE-2025-9377をKEVカタログに追加し、連邦機関に2025年9月24日までの修正を命令している。
TP-Linkの対応
TP-Linkは「ネットワークデバイスへのサイバー攻撃の脅威を非常に深刻に受け止めている」と声明。
影響を受けたモデルはEoL(サポート終了)品だが、例外的にパッチファームウェアをリリースしている。
TP-Link側は「このエクスプロイトチェーンは、リモート管理インターフェースをインターネットに公開している場合のみ利用可能で、デフォルトでは無効」と強調。
ただし現実にはデフォルトから変更しているユーザーが18,000台規模でいたことが今回の被害で明らかになっている。
SOHOルーターを標的にした国家支援型攻撃の系譜
TP-Linkルーターが国家支援型攻撃に使われたのは、今回が初めてではない。
| キャンペーン | 帰属 | 内容 |
|---|---|---|
| KV Botnet / Volt Typhoon | 中国 | Cisco/NetgearのEoLルーターを中心にボットネットを構築。米国重要インフラへの事前配置。2024年にFBIが無力化後、再構築 |
| Flax Typhoon | 中国 | 数十万台のTP-Linkルーター中心のボットネット。DDoS、認証情報スプレー(大量のIDとパスワードの組み合わせを試行する攻撃)、匿名プロキシに使用。2024年10月にMicrosoftが報告 |
| FrostArmada / APT28 | ロシア | 今回の件。TP-Link/MikroTikルーターのDNS改ざんによるAitM攻撃。2024年~2026年 |
SOHOルーターは常時稼働でパッチが当たりにくく、侵害されても気づかれにくい。
国家レベルの攻撃者にとって理想的な踏み台になっている。
対策
個人ユーザー向け
- ルーターをファクトリーリセットし、DNS設定がISPのデフォルトに戻っていることを確認する
- 最新のファームウェアに更新する
- リモート管理インターフェースを無効にする(デフォルトでは無効だが確認必須)
- デフォルトの管理パスワードを変更する
- EoL(サポート終了)のルーターは新しいモデルに交換する
- TLS証明書の警告は絶対に無視しない(今回のAitMは正規証明書を持たないため、警告を無視しなければ被害は防げた)
企業向け
- MDM(モバイルデバイス管理)で証明書ピンニングを実装
- EoLネットワーク機器の撤去
- DNS設定変更を監視する仕組みの導入
- DNSSECの導入を検討
- 管理インターフェースのインターネット公開を最小化
マルウェアを使わずに正規の機能だけで攻撃が成立するのが今回の厄介なところで、「ルーターが普通に動いている=安全」という前提が通用しない。
該当モデルを使っている場合はファームウェア更新とDNS設定の確認を。EoL品は買い替え時。
関連記事
APT28は今回のルーター侵害以外にも、同時期に複数の攻撃を展開している。
- APT28がMSHTMLゼロデイCVE-2026-21513を悪用、2月パッチまで野放し
2026年1月から悪用されていたWindowsのMSHTMLゼロデイ。LNKファイル経由でMark-of-the-Webをバイパスし、サンドボックス外でコードを実行する手口。今回のルーター侵害とは攻撃ベクトルが全く異なるが、同じAPT28が同時期に使っていた別の武器。 - CISA KEV追加の重大脆弱性4件
2026年2月にKEVカタログへ追加された脆弱性のうち、Roundcubeの10年潜伏RCEはAPT28が過去に欧州政府機関を狙うキャンペーンで標的にしてきたもの。今回のTP-Linkルーター侵害で使われたCVE-2023-50224とCVE-2025-9377も2025年9月にKEV追加済み。